駭客假冒FB友私訊騙你植入勒索軟體Locky - 資安

【iThome】這次更危險！臉書釣魚影片又來了，假冒好友私訊騙你植入勒索軟體Locky
http://www.ithome.com.tw/news/109738

【發現人員的部落格】
https://bartblaze.blogspot.tw/2016/11/nemucod-downloader-spreading-via.html


資安研究人員發現，出現一波新的勒索軟體散播方式，駭客先盜用Facebook帳號，
再以私訊分享偽造的圖片，誘拐被害者下載惡意瀏覽器外掛，
再暗中植入勒索軟體Locky

繼先前9月初的臉書釣魚影片威脅之後，昨天臉書又出現了更危險的勒索軟體誘騙手法。
這次不只是偷取個人資料，還會按裝植入了勒索軟體Locky，來綁架你的電腦檔案。
兩名資訊安全研究人員Bart Blaze近日揭露了這個精心設計的勒索軟體誘騙安裝手法，
駭客先假冒朋友的Facebook帳號，透過私訊傳送內藏特殊腳本程式的偽造svg圖片檔
給勒索對象，這個偽造圖片會打開一個假冒的Youtube網頁，
並跳出安裝下載開啟一個內藏有Nemucod惡意程式的Chrome外掛程式「One」的請求，
若使用者點下同意安裝外掛。Bart同事Peter Kruse進一步證實
這個Nemucod程式會暗中下載Locky勒索軟體植入受害者的電腦，
來加密綁架檔案，進而勒索贖金。Bart Blaze建議，如果受到感染後，
儘速將擴充程式移除，並且更改Facebook密碼，避免再次遭到勒索。

Bart Blaze說明，因為XML描述語言撰寫的SVG圖片檔案可以內藏腳本程式
（例如 JavaScript），可以避開了Facebook過濾程式檔的機制透過私訊傳遞。
受害者若開啟這個圖片檔後，會打開一個偽造的Youtube網站，
要求受害者欣賞一部來自Facebook的影片，但需要先安裝解碼器才能觀看，
來引誘受害者安裝一個名為「One」的Google Chrome擴充程式。
這個擴充程式安裝畫面沒有任何圖案，也沒有提供詳細的程式功能說明。
Peter Kruse發現，一旦安裝這個擴充程式後，
會進一步下載勒索軟體Locky植入受害者的電腦。

目前，Bart Blaze說明，他們還無法確定這個「One」的擴充程式，
是否會自動蒐集被害者的憑證資訊，再自動透過Facebook散播將惡意圖檔。
但是，目前可以得知的是，並非所有被感染的人都會自動散布惡意圖檔給朋友，
似乎是採半隨機方式挑選（semi-random）。

至於要如何解除遭到感染的情況？Bart Blaze建議，必須立即將擴充程式移除，
並且同時進行防毒程式的掃瞄和更改Facebook的密碼，避免更多檔案遭到感染。
而且，如果收到朋友傳送惡意文件的訊息，應該要通知對方已經遭到感染的情況。
目前，Facebook和Google Chrome商店的安全團隊，已經收到此傳遞惡意文件的消息。

Locky勒索軟體惡名昭彰，是三大惡意程式之一，今年第二季透過電子郵件散布，
感染了全球多國的企業，其中7成是醫療業者，
肯德基洲有一家醫院因伺服器檔案遭加密勒索，被迫改用紙本作業。


--